BSI-Grundschutz

Wie baut ein Unternehmen systematisch IT-Sicherheit auf – ohne jedes Mal bei null anzufangen? Das BSI IT-Grundschutz-Kompendium des Bundesamts für Sicherheit in der Informationstechnik (BSI) ist der deutsche Standardrahmen dafür. Es stellt bewährte Sicherheitsmaßnahmen für typische IT-Komponenten bereit und bietet einen strukturierten Prozess zur Erstellung eines IT-Sicherheitskonzepts. Viele Behörden und Unternehmen setzen BSI-Grundschutz als Grundlage – es ist das deutsche Pendant zu ISO 27001.

1) Was ist der BSI IT-Grundschutz?

Das BSI IT-Grundschutz-Kompendium (früher: IT-Grundschutz-Kataloge) ist eine vom BSI herausgegebene Sammlung von IT-Sicherheitsempfehlungen – strukturiert in sogenannte Bausteine. Jeder Baustein deckt eine bestimmte Komponente oder ein Thema ab (z.B. Webserver, Windows-Client, Notfallmanagement) und enthält: eine Beschreibung der typischen Gefährdungen und konkrete Anforderungen an die Absicherung.

BSI-Grundschutz ist keine Pflicht für Privatunternehmen – aber für Bundesbehörden und viele öffentliche Einrichtungen verpflichtend. Als Grundlage für ISO-27001-Zertifizierungen wird es jedoch auch in der Privatwirtschaft breit eingesetzt.

BSI IT-Grundschutz – Schichtenmodell der Bausteine

ISMS

Übergreifende Aspekte (ISMS)

Sicherheitsmanagement, Sicherheitspolitik, Organisation, Notfallmanagement

ORP

Organisation und Personal

Sensibilisierung, Schulung, Sicherheitsrollen, Lieferantenmanagement

CON

Konzepte und Vorgehensweisen

Kryptokonzept, Datenschutz, Datensicherung, Softwareentwicklung

OPS

Betrieb

Ordnungsgemäßer IT-Betrieb, Patch-Management, Malware-Schutz, Logging

DER

Detektion und Reaktion

Monitoring, Sicherheitsvorfälle, Forensik, Notfallmanagement

APP

Anwendungen

Webserver, Datenbanken, E-Mail-Server, Officeanwendungen, ERP

SYS

IT-Systeme

Server, Clients, Mobilgeräte, Drucker, IoT-Geräte

NET

Netze und Kommunikation

Netzwerkarchitektur, WLAN, VPN, Firewalls

INF

Infrastruktur

Gebäude, Serverraum, Verkabelung, Stromversorgung

Jeder Baustein enthält Anforderungen in drei Kategorien: Basis (muss umgesetzt werden), Standard (sollte umgesetzt werden) und erhöhter Schutzbedarf (bei besonders sensiblen Daten).

2) Der BSI-Grundschutz-Prozess

BSI-Grundschutz-Prozess – Von der Analyse zur Zertifizierung

Strukturanalyse

Erfassung aller IT-Systeme, Anwendungen, Räume und Netzwerke. Was ist vorhanden?

Schutzbedarfsfeststellung

Für jedes Asset: Welchen Schutzbedarf hat es in Bezug auf Vertraulichkeit, Integrität und Verfügbarkeit? (normal, hoch, sehr hoch). Details in IT-Sicherheitskonzept: Schutzbedarfsanalyse.

Modellierung

Passende Grundschutz-Bausteine den IT-Komponenten zuordnen. Welcher Baustein gilt für welches System?

IT-Grundschutz-Check

Soll-Ist-Vergleich: Welche Anforderungen der Bausteine sind umgesetzt, welche fehlen?

Umsetzung & Verbesserung

Fehlende Maßnahmen umsetzen, Restrisiken dokumentieren und akzeptieren oder behandeln. Basis für ISO-27001-Zertifizierung.

BSI IT-Grundschutz und ISO 27001 ergänzen sich: ISO 27001 definiert was ein ISMS leisten muss (Prozesse, Governance), BSI-Grundschutz liefert wie es technisch umgesetzt wird (konkrete Maßnahmen). Viele Organisationen nutzen BSI-Grundschutz als Nachweis für ISO-27001-Anforderungen.

Zusammenfassung

Der BSI IT-Grundschutz ist der deutsche Standard für systematische IT-Sicherheit. Das Kompendium enthält Bausteine für alle IT-Bereiche (ISMS, ORP, CON, OPS, DER, APP, SYS, NET, INF). Anforderungen sind dreistufig: Basis, Standard, erhöhter Schutzbedarf. Der Prozess: Strukturanalyse → Schutzbedarfsfeststellung → Modellierung → IT-Grundschutz-Check → Umsetzung. BSI-Grundschutz ist Pflicht für Bundesbehörden und Grundlage für ISO-27001-Zertifizierungen. Konkrete Schutzbedarfsfeststellung in IT-Sicherheitskonzept: Schutzbedarfsanalyse.

BSI-Grundschutz

1) Was ist der BSI IT-Grundschutz?

2) Der BSI-Grundschutz-Prozess

Zusammenfassung

Anmelden

Account Registrieren und Fortschritt Speichern!

Modal title